Désormais la plupart des hôtels disposent et proposent à leurs clients une connexion Wi-Fi. C’est par ce biais que des pirates ont mis au point un système permettant d’infiltrer les ordinateurs de leurs cibles et de subtiliser nombre de données sensibles de cadres et dirigeants d’entreprises du monde entier.
Darkhotel, c’est le nom de cette campagne de piratage de grande ampleur « tapie dans l’ombre depuis au moins quatre ans » selon Kapersky Lab, qui précise que 90% des attaques se situent en Asie (Japon, Taïwan, Chine, Corée du Sud mais également en Russie). Cependant les cibles privilégiées semblent venir des États-Unis, d’Asie et d’autres pays.
“Les pirates ne s’attaquent jamais deux fois à la même victime : opérant avec une précision chirurgicale, ils obtiennent le plus possible d’informations de valeur dès le premier contact, effaçant les traces de leurs agissements et se fondant dans le décor en attendant la prochaine cible d’envergure. Parmi les victimes les plus récentes figurent notamment de hauts responsables – PDG, directeurs des ventes et du marketing, chercheurs de haut niveau, etc. – d’entreprises américaines ou asiatiques en voyage d’affaires dans la région Asie-Pacifique. La question est de savoir qui sera la prochaine cible de cette menace encore active…” précise la société de sécurité informatique russe, Kapersly Lab.
Rien de bien compliqué pour tout pirate chevronné puisque la manœuvre est bien rodée mais surtout indétectable car prenant l’apparence d’une mise à jour anodine au moment de la connexion au réseau wi-fi de l’hôtel. Ainsi, ces pirates “ont déployé un dispositif efficace d’intrusion des réseaux d’hôtels, leur permettant d’accéder à des systèmes même réputés privés et sécurisés. Ils attendent que leur victime, à son arrivée à l’hôtel, se connecte au réseau Wi-Fi de l’établissement, communiquant son nom et son numéro de chambre. Ils l’accueillent alors sur le réseau infecté et l’incitent à télécharger et installer un malware de type backdoor, censé être une mise à jour de logiciels courants (GoogleToolbar, Adobe Flash ou Windows Messenger). La victime télécharge sans méfiance ce « cadeau de bienvenue » de l’hôtel, ce qui n’a d’autre effet que d’infecter sa machine avec le logiciel espion de Darkhotel“.
Une fois implanté sur un système, la backdoor sert à télécharger des outils de vol plus élaborés : un enregistreur de frappes clavier (keylogger) à signature numérique, le cheval de Troie « Karba » ainsi qu’un module de vol d’informations. Ces outils collectent des données sur le système et les logiciels antimalwares qui y sont installés, Ils recherchent également des mots de passe cachés dans les navigateurs Firefox, Chrome et Internet Explorer, des identifiants Gmail Notifier, Twitter, Facebook, Yahoo! ou Google, ainsi que d’autres informations privées. Les victimes se font dérober des données sensibles, vraisemblablement des éléments de propriété intellectuelle appartenant à leur entreprise. Après leur intrusion, les pirates effacent minutieusement tous leurs outils du réseau de l’hôtel et se remettent à l’affût dans l’ombre.
Ce qui fait dire à Kurt Baumgartner, Principal Security Researcher du GReAT de Kaspersky Lab, que les pirates derrière la campagne Darkhotel ne sont pas des amateurs mais ont « des compétences d’attaque opérationnelles, mathématiques et cryptoanalytiques, ainsi que d’autres ressources suffisantes pour abuser des réseaux commerciaux dignes de confiance et cibler des catégories spécifiques de victimes avec une précision stratégique“.
En revanche la société russe ne communique pas sur les nombres d’attaques perpétrées, les connexions viciées et les hôtels touchés.
Avec ces révélations il est aisé d’imaginer l’impact et les conséquences qu’une telle attaque pourrait avoir si elle était déployée à grande échelle. Comme nous vous le signalions récemment, il y a 44,7 millions de bornes wi-fi dans le monde (la France détient pour l’heure le plus important réseau Wi-Fi au monde) qui peuvent être commerciaux (trains, avions, hôtels, restaurants, etc.) ou domestiques.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Donc, si je comprend bien , les haut dirigeants dont l’ordinateur est un outil dont la sécurité doit être relativement élevée(Données cryptées,VPN,lecteur d’empreinte,mise à jour déployées par les admins, environnement utilisateur figé, session\VM à distance…) ont un besoin vital d’avoir leur petite barre Google ou Windows messenger ou tout autre connerie de ce genre.
@Error32,
Oui, c’est tout à fait ça.
@Error32: il ne faut pas confondre “sécurité élevée sur le PC”, que l’IT de la boîte essaie de mettre en place, et “utilisation à la Michu” de la part de dirigeants peu sensibilisés à la question. Le maillon faible, dans la sécurité informatique d’une grosse entreprise, c’est en général l’être humain. Et lorsqu’un CEO explique qu’il *veut* avoir les droits admin sur son portable pour faire du Powerpoint, il n’y a pas grand chose à faire.
Quand je vois comme c’est galère pour que mes clients s’occupent de faire de temps en temps leurs mises à jour, ça me paraît étrange que des patrons de boîte soient assez naïfs pour aller faire des mises à jour à peine arrivés à l’hôtel. Je verrais plus une attaque profitant d’une faille ou d’un truc du genre.
Je suis d’accord avec Jacoh, le coup de la mise à jour me parait gonflé, ou alors ces PDG sont des idiots finis (et c’est ça qui nous gouverne).